В SELinux sandbox появилась поддержка изолированного запуска GUI-приложений

[turbo]

Dan Walsh, один из разработчиков SELinux, сообщил о прогрессе в разработке утилиты sandbox, предназначенной для безопасного выполнения с максимальным уровнем изоляции не испытывающих доверия программ. Одним из самых полезных новшеств sandbox является добавление поддержки опции "-X", при указании которой к приложению применяется уровень доступа "xguest" (сверх ограниченный пользователь для создания гостевых входов), дающий возможность безопасного выполнения графических приложений.

Например, можно запустить firefox и разрешить обращение только к определенному сайту, выполнить программу для просмотра PDF, ограничив доступ только заданным PDF документом или запустить xterm, ограничив сетевые операции и доступ к файловой системе. При запуске программы на уровне xguest приложение получает доступ с правами текущего пользователя только к автоматически созданной пустой домашней директории (можно открыть доступ к части реальной домашней директории) и директории для хранения временных файлов, вывод на экран производится через запуск обособленной копии X-сервера Xephyr (трансляция вывода производится в окно текущего X-сервера) и оконного менеджера Matchbox.

Для использования sandbox можно дождаться выхода Fedora 12 или обновить систему до Fedora RawHide, затем установить пакет policycoreutils-sandbox и выполнить "sandbox -X команда".

http://www.opennet.ru/opennews/art.shtml?num=23481